Press "Enter" to skip to content

解决F5 BIGIP设备自身证书不被浏览器信任问题

Last updated on 2020-05-14

客户对于登录F5的管理页面提示证书不可信的问题不是很在意,但还是有些客户觉得别扭,非要变成小锁头,所以为了这样强迫症的客户,我特意写下了这篇文档,F5设备是支持替换Device certificate和key的,由于默认的是localdomain,localdomain,所以必将出现证书不可信提示,对于一些客户可以使用自建的根证书颁发机构(CA)去给F5颁发一个证书,然后将证书导入F5替换原有设备的server证书。
解决思路:我是用F5 系统web界面生成的证书请求问题,然后将证书请求文件交给CA去颁发给一个证书,然后将证书替换设备系统自带的web证书。
1、创建一个证书请求文件:

  1. 填写证书信息 name无所谓,Common name填写匹配的证书或者IP地址。

注意:Subject Alternative Nam为必填项,如果不填chrom浏览器将不会信任此证书。SAN的编写格式为:DNS:www.baidu.com,IP:8.8.8.8

  1. 下载好证书请求文件和key,然后删除设备里面等待导入 证书的key文件。
  2. 将颁发好的证书和key导入 BIGIP device certificate位置,导入的时候选择将证书和key一同导入,如下图。





导入后重新关闭浏览器并打开管理页面已经看到证书可信。(前提操作是需要将自建CA的根证书导入到windows和chrom中)
5、验证证书



IP:172.29.0.208,IP:172.29.0.209,IP:172.29.0.213,IP:172.29.0.214,IP:172.29.0.215,IP:172.29.0.216,IP:172.29.0.217,IP:172.29.0.218,IP:172.29.0.219,IP:172.29.0.220,IP:172.29.0.221,IP:172.29.0.222,IP:172.29.0.223,IP:172.29.0.224
IP:172.29.3.108,IP:172.29.3.109,IP:172.29.2.130,IP:172.29.2.131,IP:172.29.2.132,IP:172.29.2.133,IP:172.29.2.134,IP:172.29.2.135,IP:172.29.2.136,IP:172.29.2.137,IP:172.29.2.138,IP:172.29.2.139,IP:172.29.2.140,IP:172.29.2.141

发表评论

电子邮件地址不会被公开。 必填项已用*标注

7 + 6 =